hasurl - クラウドでオンライン

プログラム：

NAME

haserl - 組み込み環境用の CGI スクリプト プログラム

SYNOPSIS

#!/usr/bin/haserl [--シェル=パススペック] [--アップロード-dir=ディルスペック] [--アップロード ハンドラ =ハンドラ]
[--アップロード制限=制限] [--すべてを受け入れる] [--受け入れる-なし] [ - 静けさ] [ - デバッグ]

[ テキスト ] [ <% シェル スクリプト %> ] [ テキスト ] ...

DESCRIPTION

Haserl は、「PHP」スタイルの CGI プログラミングを可能にする小さな CGI ラッパーですが、UNIX を使用します。
プログラミング言語として bash のようなシェルまたは Lua を使用します。 とても小さいので、使えます
組み込み環境、または PHP のようなものが大きすぎる場所。

XNUMX つの機能を小さな CGI エンジンに結合します。

POST および GET リクエストを解析し、フォーム要素を name=value ペアとして
CGI スクリプトが使用する環境。 これは、 うんち ラッパー。

シェルを開き、すべてのテキストを印刷可能なステートメントに変換します。 すべてのテキスト
<% ... %> 内の構造はそのままシェルに渡されます。 これは多少
書くように PHP スクリプト。

必要に応じてインストールして、その権限をスクリプトの所有者にドロップすることができます。
のセキュリティ機能の一部を提供する 実行 or cgiラッパー.

OPTIONS 概要

これは、コマンド ライン オプションの概要です。 をご覧ください OPTIONS セクションの下に
完全な説明の長いオプション名。

-a --すべてを受け入れる
-n --accept-なし
-d --デバッグ
-s、--シェル
-S, --サイレント
-U、--アップロードディレクトリ
-u, --アップロード制限
-H, --アップロードハンドラ

OPTIONS

--受け入れる-すべて
プログラムは通常、REQUEST_METHOD が POST であり、かつ
REQUEST_METHOD が GET の場合、URL データのデータのみを受け入れます。 このオプション
REQUEST_METHOD に関係なく、POST データと URL データの両方を受け入れることができます。
このオプションが設定されている場合、REQUEST_METHOD が優先されます (たとえば、メソッドが
は POST であり、FORM_variables は COOKIE データ、GET データ、および POST データから取得されます。
その注文。 メソッドが GET の場合、FORM_variables は COOKIE データから取得され、POST
デフォルトでは、すべての入力メソッドを受け入れるわけではありません。
COOKIE データと REQUEST_METHOD。

-- 受け入れる - なし
指定された場合、haserl は処理前に標準入力を http コンテンツとして解析しません。
スクリプト。 これは、別の haserl スクリプトから haserl スクリプトを呼び出す場合に便利です。

- デバッグ
スクリプトを実行する代わりに、実行されるスクリプトを出力します。 もしも
環境変数「REQUEST_METHOD」が設定されている場合、データは
プレーン/テキスト コンテンツ タイプ。 それ以外の場合、シェル スクリプトは逐語的に出力されます。

--shell =パススペック
使用する代替の bash のようなシェルを指定します。 デフォルトは "/bin/sh"

シェル パラメータを含めるには、 --shell= を使用しないでください/bin/sh フォーマット。 代わりに、
--shell のように、「=」のない代替形式/bin/bash --norc」。
オプション文字列を引用符で囲み、特殊文字を保護します。

Lua ライブラリでコンパイルされている場合、文字列「lua」を使用して統合された
Lua vm. この文字列は大文字と小文字が区別されます。 例： --shell =ムーン

代替手段は「luac」です。 これにより、haserl および lua パーサーが無効になり、
スクリプトはプリコンパイルされた lua チャンクであると想定されます。 見る ルアック 詳細については以下をご覧ください
情報を表示します。

- 静けさ
Haserl は通常、エラー状態に関する情報メッセージを出力します。 これ
haserl の使用が通知されないように、エラー メッセージを抑制します。

--アップロードディレクトリ=ディルスペック
デフォルトは「/ tmpに"。アップロードされたすべてのファイルは、この中に一時的なファイル名で作成されます
ディレクトリにジョブを開始します。 HASERL_xxx_path 一時ファイルの名前が含まれています。 FORM_xxx_name
クライアントによって指定されたファイルの元の名前が含まれます。

--アップロードハンドラー=パススペック
指定すると、ファイルのアップロードは、このハンドラーに書き込まれるのではなく、このハンドラーによって処理されます。
一時ファイル。 フル パス仕様を指定する必要があります (PATH は検索されません)。
アップロード ハンドラには、次の XNUMX つのコマンド ライン パラメータが与えられます。
アップロードファイルが送信されます。 さらに、ハンドラーは 3 を受け取る場合があります。
環境変数： コンテンツタイプ, ファイル名, NAME. これらはMIMEを反映しています
コンテンツの content-disposition ヘッダー。 Haserl はそれぞれのハンドラーをフォークします。
ファイルがアップロードされ、アップロード ファイルの内容が指定された FIFO に送信されます。
その後、Haserl はハンドラーが終了するまでブロックします。 この方法は専門家向けです
のみ。

--アップロード制限=制限
MIME でエンコードされたファイルを許可する 制限 KB アップロードする。 デフォルトは 0KB （no
アップロードは許可されています)。 MIME エンコードにより、データのサイズが 33% 増加することに注意してください。

概要 OF OPERATION

一般に、Web サーバーはいくつかの環境変数を設定してから、 フォーク or
CGI スクリプトを実行する別の方法。 スクリプトが ハザール 通訳、
次のことが起こります:

If ハザール suid root がインストールされ、uid/gid がスクリプトの所有者に設定されます。

環境がスキャンされます HTTP_COOKIE、ウェブで設定された可能性があります
サーバ。 存在する場合、解析されたコンテンツはローカル環境に配置されます。

環境がスキャンされます REQUEST_METHOD、これは Web サーバーによって設定されました。
request メソッドに基づいて、標準入力が読み取られて解析されます。 解析された
コンテンツはローカル環境に配置されます。

スクリプトはトークン化され、解析されます ハザール 生のテキストからのコード ブロック。 生のテキストは
「echo」ステートメントに変換され、すべてのトークンがサブシェルに送信されます。

ハザール フォークとサブシェル (通常は /bin/sh) が開始されます。

すべてのトークンは、サブシェルの STDIN に送信され、末尾に 終了する

サブシェルが終了すると、 ハザール インタプリタは最終的なクリーンアップを実行し、
その後終了します。

クライアント 側 入力

　 ハザール インタープリターは、HTTP_COOKIE 環境変数を介して送信されたデータをデコードします。
クライアントから GET または POST メソッドを呼び出し、それらを環境変数として保存します。
hasurl でアクセスできます。 変数の名前は、ソースで指定された名前に従います。
ただし、接頭辞 ( 形_) が先頭に追加されます。 たとえば、クライアントが「foo=bar」を送信すると、
環境変数は FORM_foo=バー.

HTTP_COOKIE メソッドの場合、変数はプレフィックス ( COOKIE_）追加。
たとえば、HTTP_COOKIE に「foo=bar」が含まれている場合、環境変数は
COOKIE_foo=バー.

GET メソッドの場合、フォーム %xx で送信されたデータは、指定された文字に変換されます。
表現し、変数も接頭辞 ( GET_） 追加した。 たとえば、
QUERY_STRING には「foo=bar」が含まれ、環境変数は GET_foo=バー.

POST メソッドの場合、変数はプレフィックス ( POST_） 追加した。 為に
たとえば、ポスト ストリームに「foo=bar」が含まれている場合、環境変数は POST_foo=バー.

また、POST メソッドの場合、データが次を使用して送信される場合 multipart / form-data エンコーディング、
データは自動的にデコードされます。 これは通常、ファイルが Web からアップロードされるときに使用されます。
使用しているクライアント.

注意 ファイルが Web サーバーにアップロードされると、ファイルは アップロードディレクトリ
ディレクトリにあります。 FORM_変数名= アップロードされたファイルの名前が含まれています（
お客様指定。） HASERL_variable_path= にファイルの名前が含まれています
アップロードディレクトリ アップロードされたコンテンツを保持します。 悪意のあるクライアントを防止するには
いっぱいになる アップロードディレクトリ Web サーバーでは、ファイルのアップロードは、
--アップロード制限 オプションは、アップロードできるファイルの大きさを指定するために使用されます。 ハセル
スクリプトが終了すると、一時ファイルが自動的に削除されます。 維持するために
ファイルを移動するか、スクリプト内のどこかに名前を変更します。

ファイル名は次の場所に保存されることに注意してください。 ハーセル_変数パス これは、FORM_、
GET_ および POST_ 変数はクライアントによって変更可能であり、悪意のあるクライアントは
名前でXNUMX番目の変数を設定します 変数パス=/etc/passwd. 以前のバージョン
パススペックを保存しませんでした ハザール 名前空間 に 維持する 後ろ向き
互換性、 　 名 of 　 一時的 file is また 保存され in FORM_変数= &
POST_変数=。 この is 見なさ 安全でない & すべき be 中古。

クライアントがデータを送信する場合 両言語で POST および GET メソッドによって、次に ハザール のみを解析します
に対応するデータ REQUEST_METHOD Web サーバーによって設定された変数。
すべてを受け入れる オプションが設定されました。 たとえば、フォームは POST メソッドを介して呼び出されますが、
some.cgi?foo=bar&otherdata=something の URI には POST データが解析され、 foo
& その他のデータ 変数は無視されます。

Web サーバーが HTTP_COOKIE 環境変数、Cookie データが解析されます。
Cookie データが解析されます GET または POST データの XNUMX つの変数の場合、
同じ名前を使用すると、GET または POST データによって Cookie 情報が上書きされます。

同じ変数の複数のインスタンスが異なるソースから送信されると、
FORM_variable は、変数が処理される順序に従って設定されます。
HTTP_COOKIE は常に最初に処理され、その後に REQUEST_METHOD が続きます。 すべてを受け入れる場合
オプションが設定されている場合、HTTP_COOKIE が最初に処理され、次にメソッド not が続きます。
REQUEST_METHOD によって指定され、その後に REQUEST_METHOD が続きます。 の最後のインスタンス
variable は FORM_variable の設定に使用されます。 変数も別々であることに注意してください
COOKIE_variable、GET_variable、および POST_variable として作成します。 これにより、
各ソースからの重複する名前。

同じ変数の複数のインスタンスが同じソースから送信される場合、最後のインスタンスのみが送信されます。
XNUMXつが保存されます。 すべてのコピーを保持するには (たとえば、複数選択の場合)、最後に「[]」を追加します
変数名の。 改行で区切られたすべての結果が返されます。 例えば、
host=Enoch&host=Esther&host=Joshua は "FORM_host=Joshua" になります。
host[]=エノク&ホスト[]エスター&ホスト[]=ヨシュアの結果は「FORM_host=エノク\nエスター\nヨシュア」

言語

次の言語構造は、によって認識されます。 ハザール.

RUN
<% [シェルスクリプト] %>

<% %> タグで囲まれたものはすべて、実行のためにサブシェルに送信されます。 テキスト
そのまま送信されます。

インクルード
<%in pathspec %>

このスクリプトに別のファイルを逐語的に含めます。 このファイルは、スクリプトの実行時にインクルードされます。
最初に解析されます。

エバール
<%=式%>

シェル式を出力します。 「echo expr」のシンタックス シュガー。

コメント
<%# コメント %>

コメントブロック。 コメント ブロック内の内容は解析されません。 コメントはネスト可能
他の haserl 要素を含めることができます。

例

警告
以下の例は、使用方法を示すために簡略化されています ハザール。 あなたは
使用する前に、基本的な Web スクリプト セキュリティに精通している ハザール (または任意のスクリプト
言語) 本番環境で。

簡単な拡張で Command
#!/usr/local/bin/haserl
コンテンツ タイプ: テキスト/プレーン

<%# これはサンプルの "env" スクリプトです %>
<%環境%>

の結果を印刷します。 env コマンドを MIME タイプの「text/plain」ドキュメントとして送信します。 これは
　 ハザール 共通のバージョン printenv cgi。

ループ 　 ダイナミック 出力
#!/usr/local/bin/haserl
コンテンツタイプ: テキスト/html




赤、青、黄、シアンの a の場合は <%。 する %>
"><% echo -n "$a" %>
<% 完了 %>




MIME タイプの「text/html」ドキュメントをクライアントに送信します。
背景色でラベル付けされた要素。

　 シェル（Shell） 定義済みの 機能します。
#!/usr/local/bin/haserl
コンテンツタイプ: テキスト/html

<% # ユーザー関数を定義
テーブル要素() {
エコー " $1 "
}
%>



赤、青、黄、シアンの a の場合は <%。 する %>
<% テーブル要素 $a %>
<% 完了 %>




上記と同じですが、埋め込み html の代わりにシェル関数を使用します。

自己 参照 CGI 　 a フォーム
#!/usr/local/bin/haserl
コンテンツタイプ: テキスト/html


サンプルフォーム
" method="GET">
<% # FORM_textfield の基本的な検証を行います
# 一般的な Web 攻撃を防ぐには
FORM_textfield=$( echo "$FORM_textfield" | sed "s/[^A-Za-z0-9 ]//g" )
%>
<入力タイプ=テキスト名=テキストフィールド
Value="<% echo -n "$FORM_textfield" | tr az AZ %>" cols=20>




フォームを印刷します。 クライアントがフォームにテキストを入力すると、CGI がリロードされます (定義済み)。
by $SCRIPT_NAME）、Web 攻撃を防ぐためにテキストフィールドがサニタイズされると、
ユーザーが入力したテキストを含むフォームが再表示されます。 テキストは大文字です。

アップロード a File
#!/usr/local/bin/haserl --upload-limit=4096 --upload-dir=/ tmpに
コンテンツタイプ: テキスト/html


" method=POST enctype="multipart/form-data" >



<% if test -n "$HASERL_uploadfile_path"; 次に %>

<% echo -n $FORM_uploadfile_name %>という名前のファイルをアップロードしましたが、
. としてサーバーに一時的に保存されます。 の
ファイルは <% cat $HASERL_uploadfile_path | wc -c %> バイトの長さ。
<% rm -f $HASERL_uploadfile_path %> 心配しないでください、ファイルは削除されたばかりです
ウェブサーバーから。
<% 他 %>
まだファイルをアップロードしていません。
<% fi %>



ファイルのアップロードを可能にするフォームを表示します。 これは、
--アップロード制限 そしてフォームを設定することによって enctype 〜へ マルチパート/フォームデータ。 Status
クライアントがファイルを送信すると、ファイルに関する情報が出力され、次に
削除されました。 それ以外の場合、クライアントがファイルをアップロードしていないことがフォームに示されます。

RFC-2616 適合
#!/usr/local/bin/haserl
<% echo -en "content-type: text/html\r\n\r\n" %>

...


HTTP 仕様に完全に準拠するには、ヘッダーを次のように終了する必要があります。
通常の unix LF 行終端のみではなく、CR+LF。 上記の構文は
RFC 2616 準拠のヘッダーを生成するために使用されます。

ENVIRONMENT

Web サーバーから継承された環境変数に加えて、次の
環境変数は常に起動時に定義されます。

ハザーバー
ハザール version - 情報タグ。

セッションID
CGI の存続期間中に固有の XNUMX 進数のタグ (
cgi が開始します。 別の POST または GET クエリが生成されるまで変更されません。)

HASERL_ACCEPT_ALL
Status --受け入れる-すべて 旗が立てられ、 -1、そうでなければ 0.

HASERL_SHELL
サブシェルコマンドを実行するために開始されたシェル haserl の名前。

HASERL_UPLOAD_DIR
アップロードされたファイルを格納するために haserl が使用するディレクトリ。

HASERL_UPLOAD_LIMIT
クライアントからサーバーに送信できる KB 数。

これらの変数は、スクリプト内で変更または上書きできます。
「HASERL_」で始まるものは情報提供のみを目的としており、実行中のスクリプトには影響しません。

安全 商品特徴

シェルを使用して CGI スクリプトをプログラムすることの危険性については、多くの文献があります。
ハザール 含まれています 一部 このリスクを軽減するための保護。

環境 Variables
環境変数を設定するコードは、サブの範囲外です。
シェル。 文字で解析しますか？ および & であるため、クライアントが実行するのは困難です。
「注射」攻撃。 例として、 foo.cgi?a=test;猫 /etc/passwd になる可能性があります
値が割り当てられる変数 test そして実行結果 cat
/etc/passwd クライアントに送信されます。 ハセル 変数に完全な
値： テスト;猫 /etc/passwd

この「危険な」変数をシェル スクリプトで使用するには、
引用; ただし、すべての入力フィールドで検証を行う必要があります。

特権 落ちる
suid スクリプトとしてインストールされている場合、 ハザール その uid/gid を所有者のものに設定します
スクリプト。 これは、さまざまな CGI スクリプトのセットを持つために使用できます。
特権。 もし ハザール バイナリが suid でインストールされていない場合、CGI スクリプトは
Web サーバーの uid/gid で実行します。

非承認 command ライン パラメータ 与えられた on 　 URL
URL にエンコードされていない「=」が含まれていない場合、CGI 仕様にオプションが記載されています。
プログラムへのコマンドライン パラメータとして使用されます。 たとえば、
CGI仕様へ： http://192.168.0.1/test.cgi?--アップロード制限%3d2000&foo%3dbar
「Foo=bar」の設定に加えて、upload-limit を 2000KB に設定する必要があります。 守ること
独自のアップロードを有効にするクライアントに対して、 ハザール コマンドラインオプションを拒否します
argv[2] を超えています。 #! として呼び出された場合スクリプト、インタプリタは argv[0]、すべて
#! にリストされているコマンド ライン オプション行は argv[1] に結合され、
スクリプト名は argv[2] です。

LUA

lua サポート付きでコンパイルした場合、 --shell=lua 代わりにスクリプト言語として lua を有効にします
bash シェルの。 環境変数 (SCRIPT_NAME、SERVER_NAME など) は次の場所に配置されます。
ENV テーブルに格納され、フォーム変数は FORM テーブルに配置されます。 たとえば、
上記の自己参照フォームは、次のように記述できます。

#!/usr/local/bin/haserl --shell=lua
コンテンツタイプ: テキスト/html


サンプルフォーム
" メソッド="GET">
<% # FORM_textfield の基本的な検証を行います
# 一般的な Web 攻撃を防ぐには
FORM.textfield=string.gsub(FORM.textfield, "[^%a%d]", "")
%>
<入力タイプ=テキスト名=テキストフィールド
Value="<% io.write (string.upper(FORM.textfield)) %>" cols=20>




<%= 演算子は構文糖衣です io.write (tostring( ... )) したがって、たとえば、
上記の Value= 行は次のように記述できます。 値="<%= string.upper(FORM.テキストフィールド) %>" 列=20>

haserl lua スクリプトは関数を使用できます hasurl.loadfile(ファイル名) ターゲットを処理する
スクリプトは、haserl (lua) スクリプトとして作成されます。 関数は「関数」のタイプを返します。

たとえば、

bar.lsp
<% io.write ("Hello World" ) %>

あなたのメッセージは <%= gvar %> です

-- インクルードファイルの終わり --

foo.ハサール
#!/usr/local/bin/haserl --shell=lua
<% m = haserl.loadfile("bar.lsp")
gvar = "m() として実行"
m（）

gvar = "ワンステップで読み込みと実行"
haserl.loadfile("bar.lsp")()
%>

Running: foo 生成されます:

こんにちは世界
あなたのメッセージは Run as m() です
-- インクルードファイルの終わり --
こんにちは世界
あなたのメッセージは 読み込みと実行をワンステップで
-- インクルードファイルの終わり --

この関数により、ネストされた haserl サーバー ページ (ページ スニペット) を持つことが可能になります。
haserl トークナイザーによって処理されます。

ルアック

　 ルアック 「シェル」はコンパイル済みの lua チャンクなので、スクリプトのインタラクティブな編集とテストを行います
不可能です。 ただし、haserl は luac サポートのみでコンパイルでき、これにより
少ないメモリ環境でもlua対応。 上記のすべての haserl lua 機能は、
まだ利用可能です。 (luac が haserl に組み込まれている唯一のシェルである場合、haserl.loadfile は
haserl パーサーがコンパイルされていないため、無効になっています。)

以下は、luac cgi スクリプトに変換された単純なスクリプトの例です。

ファイル test.lua が与えられた場合:
印刷 ("Content-Type: text/plain0)
print ("この実行の UUID は: " .. ENV.SESSIONID)

luac でコンパイルできます:
luac -o テスト.luac -s テスト.lua

そして、それに追加された haserl ヘッダー:
echo '#!/usr/bin/haserl --shell=luac' | 猫 - test.luac > luac.cgi

または、標準の lua シェルを使用して Web サイト全体を開発することもできます。
そして、haserl 自体が luac コンパイラのスクリプトを前処理します。
ビルドプロセス。 これを行うには、 --shell=lua を使用して Web サイトを開発します。 ビルドの準備ができたら
--debug 行を lua スクリプトに追加し、それらを実行して出力します。
結果を .lua ソース ファイルに出力します。 例えば：

haserl スクリプト test.cgi が与えられた場合:
#!/usr/bin/haserl --shell=lua --debug
コンテンツタイプ: テキスト/プレーン

この実行の UUID は <%= ENV.SESSIONID %> です

haserl luac ヘッダーをプリコンパイル、コンパイル、および追加します。
./test.cgi > test.lua
luac -s -o テスト.luac テスト.lua
echo '#!/usr/bin/haserl --shell=luac' | 猫 - test.luac > luac.cgi

onworks.net サービスを使用してオンラインで haserl を使用する